Infizierte Webseiten Einstellungen

[Rios]

Ups, da geht aber die Post ab. Hier eine Statistik der Infizierten Webseiten. China Nr. 1

[Sasser]

Diese Einstellung habe ich schon lange......besser ist.

Angehängte Datei(en)

 Unbenannt.GIF ( 54.81KB ) Anzahl der Downloads: 228

 

[Rios]

Ups, hier ist auch der Wurm drin.

hxxp://www.answering-christianity.org
Vorsicht Trojan Clicker!!

[Rios]

Exploid!! hier auf Websense zu lesen.

[Joerg]

Wieder ein Grund mehr, seine Software aktuell zu halten!

[Gast_rock_*]

ich krieg da wieder den js/psyme beim öffnen...

[citro]

Also ich fahre kurz in diesem Thread weiter fort, von diesem hier kommend:

http://www.rokop-security.de/index.php?s=&...st&p=244648

Die Citydome Seite soll ja angeblich infiziert sein, KAV hat mir bestätigt, dass es der Trojan.HTML.Agent.m wäre, dieser stand auch in der Viruswatch von KAV wie auch in der Liste von Antiviruslab GData - aber die Signatur wurde nicht ausgeliefert.

Kurz nachgefragt und prompt kam die Antwort "no malicious" code, na denn denke ich eben Fehlalarm.

Avira schrieb mir allerdings die Datei sowie die Webseite wäre infiziert.

Avast meldet fleißig über GData die JS Script Virusmeldung, der Webmaster ist informiert, mal sehen ob überhaupt was geschieht.

[Gast_rock_*]

in dieser mail wird zum/zu einer variante.... TR/Zlob verlinkt!

msnbc.com: BREAKING NEWS: Girl found with arms cut off, police investigate

Find out more at h!!p://breakingnews.msnbc.com
======================================================
See the top news of the day at MSNBC.com, and the latest from Today Show and NBC Nightly News.

=========================================
This e-mail is never sent unsolicited. You have received this MSNBC Breaking News Newsletter
newsletter because you subscribed to it or, someone forwarded it to you.

To remove yourself from the list (or to add yourself to the list if this
message was forwarded to you) simply go to

http://www.msnbc.msn.com/id/40978370, select unsubscribe, enter the
email address receiving this message, and click the Go button.

Microsoft Corporation - One Microsoft Way - Redmond, WA 98052
MSN PRIVACY STATEMENT
http://privacy.msn.com (http://privacy.msn.com/>)

Der Beitrag wurde von rock bearbeitet: 15.08.2008, 20:44

[citro]

Es ist nichts zu machen, in dieser sonst vertrauenswürdigen Webseite scheint entweder ein Script schlecht erstellt oder es wurde ein böswilliges untergeschoben.

h**p://www.citydome-rosenheim.de/html/MCMS/MAIN/public/index.php

Microsoft sagt "not malware", Avira meint wie schon erwähnt die Seite wäre infiziert.
Auf meine Mail an den Betreiber hat noch niemand reagiert.

Seltsam



Die Warnmeldung kommt erst nach aktualisieren der Seite oder nachdem man einen Link anklickt.

Der Beitrag wurde von citro bearbeitet: 15.08.2008, 20:50

[Gast_rock_*]

in dieser mail wird zum/zu einer variante.... TR/Zlob verlinkt!
msnbc.com: BREAKING NEWS: Girl found with arms cut off, police investigate

das is ja mal nett..... es kommt wieder so eine mail von MSNBC breaking news.... diesmal wird aus dem link dieser link:
h!!p://yousseftohme.com/msn_video.html (achtung zlob-variante)

und jetzt kömmts dazu!!!:
wenn man den link extra noch hier http://linkchecker.phpwww.de/index.php checken lässt, bekommt man gleich ein adobe flash herausgefiltert dazu aus diesem link mit dem msn_video.html - ist aber I Worm Nuwar

link in den balken eingeben und checken lassen...ergebnis abwarten!

toll....man sollte öfters dort linkchecken lassen wenn man das würmchen sepperat geliefert bekommt!



edit: die ergebnisse im ganzen schauen nicht besonders rosig aus!:

der link:
Ergebnis: 12/36 (33.34%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 HEUR/HTML.Malware
Authentium 5.1.0.4 2008.08.16 JS/Agent.FA
Avast 4.8.1195.0 2008.08.15 -
AVG 8.0.0.161 2008.08.16 Downloader.Zlob.HTML
BitDefender 7.2 2008.08.16 Trojan.HTML.Zlob.Y
CAT-QuickHeal 9.50 2008.08.16 HTM/Zlob.GEN.2
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.16 -
eSafe 7.0.17.0 2008.08.14 -
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.16 -
F-Prot 4.4.4.56 2008.08.16 JS/Agent.FA
F-Secure 7.60.13501.0 2008.08.16 -
Fortinet 3.14.0.0 2008.08.16 JS/Zlob!tr.dldr
GData 2.0.7306.1023 2008.08.16 -
Ikarus T3.1.1.34.0 2008.08.16 Trojan.HTML.Zlob.Y
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.16 -
McAfee 5362 2008.08.15 BackDoor-DNM.dldr
Microsoft 1.3807 2008.08.16 TrojanClicker:HTML/Cbp.A
NOD32v2 3360 2008.08.15 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.16 -
PCTools 4.4.2.0 2008.08.16 -
Prevx1 V2 2008.08.16 -
Rising 20.57.52.00 2008.08.16 -
Sophos 4.32.0 2008.08.16 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.16 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.16 JS_AGENT.ALCQ
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.15 -
Webwasher-Gateway 6.6.2 2008.08.16 Heuristic.HTML.Malware

================
und der adobe flash Nuwar:

Datei adobe_flash_1_.zip empfangen 2008.08.16 16:40:55 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 6/36 (16.67%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 -
Authentium 5.1.0.4 2008.08.16 -
Avast 4.8.1195.0 2008.08.15 -
AVG 8.0.0.161 2008.08.16 I-Worm/Nuwar.W
BitDefender 7.2 2008.08.16 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.16 -
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.16 -
F-Prot 4.4.4.56 2008.08.16 -
F-Secure 7.60.13501.0 2008.08.16 -
Fortinet 3.14.0.0 2008.08.16 -
GData 2.0.7306.1023 2008.08.16 -
Ikarus T3.1.1.34.0 2008.08.16 -
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.16 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.16 TrojanDownloader:Win32/Cbeplay.gen!E
NOD32v2 3360 2008.08.15 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.16 -
PCTools 4.4.2.0 2008.08.16 -
Prevx1 V2 2008.08.16 -
Rising 20.57.52.00 2008.08.16 -
Sophos 4.32.0 2008.08.16 Mal/EncPk-DA
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.16 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.16 -
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.15 Trojan.DL.Exchanger.CS
Webwasher-Gateway 6.6.2 2008.08.16 Win32.Malware.dam (suspicious)

schlimm! die ergebnisse!






Der Beitrag wurde von rock bearbeitet: 16.08.2008, 15:46

[Gast_rock_*]

h!!p://www.nu-nation.com/index1.php


Datei video38hewpor.zip empfangen 2008.08.16 17:36:05 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 TR/Dldr.Exchanger.Gen.2.18
Authentium 5.1.0.4 2008.08.16 W32/Downldr2.DIGX
Avast 4.8.1195.0 2008.08.15 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.08.16 I-Worm/Nuwar.W
BitDefender 7.2 2008.08.16 Trojan.Downloader.Exchanger.Gen.2
CAT-QuickHeal 9.50 2008.08.16 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.16 Trojan.Packed.606
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.16 -
F-Prot 4.4.4.56 2008.08.16 W32/Downldr2.DIGX
F-Secure 7.60.13501.0 2008.08.16 Trojan-Downloader.Win32.Exchanger.nj
Fortinet 3.14.0.0 2008.08.16 W32/PolyExchanger.A!tr
GData 2.0.7306.1023 2008.08.16 Trojan-Downloader.Win32.Exchanger.nj
Ikarus T3.1.1.34.0 2008.08.16 Trojan-Downloader.Exchanger.Gen.2
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.16 Trojan-Downloader.Win32.Exchanger.nj
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.16 TrojanDropper:Win32/Nuwar.gen!ldt
NOD32v2 3360 2008.08.15 a variant of Win32/Agent.ETH
Norman 5.80.02 2008.08.15 W32/DLoader.IXQG
Panda 9.0.0.4 2008.08.16 -
PCTools 4.4.2.0 2008.08.16 -
Prevx1 V2 2008.08.16 -
Rising 20.57.52.00 2008.08.16 -
Sophos 4.32.0 2008.08.16 Mal/EncPk-DA
Sunbelt 3.1.1546.1 2008.08.15 Trojan-Downloader.Exchanger.Gen.2
Symantec 10 2008.08.16 Trojan.Pandex
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.16 TROJ_NUWAR.ERZ
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.15 -
Webwasher-Gateway 6.6.2 2008.08.16 Trojan.Dldr.Exchanger.Gen.2.18

Angehängte Datei(en)

 nicole_kidman.JPG ( 10.81KB ) Anzahl der Downloads: 4

 

[Gast_rock_*]

h!!p://piero.bg/msn_video.html


Datei adobe_flash_1_.exe empfangen 2008.08.17 11:56:01 (CET)

AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 TR/Dldr.Exchange.NG
Authentium 5.1.0.4 2008.08.16 -
Avast 4.8.1195.0 2008.08.15 -
AVG 8.0.0.161 2008.08.16 I-Worm/Nuwar.W
BitDefender 7.2 2008.08.17 Trojan.Downloader.Exchanger.Gen.2
CAT-QuickHeal 9.50 2008.08.16 TrojanDownloader.Exchanger.nl
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.17 Trojan.Packed.606
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.16 -
F-Secure 7.60.13501.0 2008.08.17 Trojan-Downloader.Win32.Exchanger.nl
Fortinet 3.14.0.0 2008.08.17 PossibleThreat
GData 2.0.7306.1023 2008.08.16 Trojan-Downloader.Win32.Exchanger.nl
Ikarus T3.1.1.34.0 2008.08.17 Trojan-Downloader.Win32.Exchanger.nl
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.17 Trojan-Downloader.Win32.Exchanger.nl
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.17 TrojanDropper:Win32/Nuwar.gen!ldt
NOD32v2 3362 2008.08.17 a variant of Win32/Agent.ETH
Norman 5.80.02 2008.08.15 W32/Tibs.CTEM
Panda 9.0.0.4 2008.08.16 -
PCTools 4.4.2.0 2008.08.16 -
Prevx1 V2 2008.08.17 Malware Dropper
Rising 20.57.62.00 2008.08.17 -
Sophos 4.32.0 2008.08.17 Mal/EncPk-DA
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.16 Trojan Horse
TheHacker 6.3.0.3.052 2008.08.17 -
TrendMicro 8.700.0.1004 2008.08.16 TROJ_NUWAR.DII
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.16 Trojan.DL.Exchanger.CS
Webwasher-Gateway 6.6.2 2008.08.17 Trojan.Dldr.Exchange.NG

[Gast_rock_*]

h!!p://www.mahe.com.co/1.html

Datei: install[1].exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PE_PATCH
Bit9 rapportiert: {BIT9_THREAT}

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus I-Worm/Nuwar.W gefunden
BitDefender Trojan.Downloader.Exchanger.Gen.2 gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Keine Viren gefunden
Fortinet Keine Viren gefunden
Ikarus Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Tibs.gen220 gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

vtotal momentan nicht möglich...lange warteliste...

[Gast_rock_*]

noooojo.... in dieser "CNN" mail kann man sich mal nach lust und laune gleich 20 mal was eintreten 20x verschiedene webseitenadressen die auch schon komisch klingen....meistens Nuwar und Zlob.html.... mag sie wirklich nicht alle runterladen und hochladen....

die ergebnisse werden wahrscheinlich genaus mieserabel wie die vorgängerergebnisse sein....obwohl das schon bedenklich ist, weil sich diese mails/trojaner ja echt massig verbreiten in letzter zeit!

Der Beitrag wurde von rock bearbeitet: 18.08.2008, 16:44

Angehängte Datei(en)

 20fuckers.JPG ( 104.72KB ) Anzahl der Downloads: 18

 

[Gast_rock_*]

kommt als gefakte Microsoft mail mit vista office update link der diese install ist:

h!!p://89.187.49.18/install.exe

Datei install.exe empfangen 2008.08.25 19:19:08 (CET)
Status: Beendet

Ergebnis: 7/36 (19.44%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.21.0 2008.08.25 -
AntiVir 7.8.1.23 2008.08.25 TR/Peed.jsb.33
Authentium 5.1.0.4 2008.08.25 -
Avast 4.8.1195.0 2008.08.25 -
AVG 8.0.0.161 2008.08.25 -
BitDefender 7.2 2008.08.25 Trojan.Peed.JSB
CAT-QuickHeal 9.50 2008.08.25 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.25 -
DrWeb 4.44.0.09170 2008.08.25 -
eSafe 7.0.17.0 2008.08.24 Suspicious File
eTrust-Vet 31.6.6044 2008.08.23 -
Ewido 4.0 2008.08.25 -
F-Prot 4.4.4.56 2008.08.25 -
F-Secure 7.60.13501.0 2008.08.25 -
Fortinet 3.14.0.0 2008.08.25 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.25 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.25 -
McAfee 5369 2008.08.25 -
Microsoft 1.3807 2008.08.25 Trojan:Win32/Tibs.HP
NOD32v2 3385 2008.08.25 a variant of Win32/Kryptik.E
Norman 5.80.02 2008.08.25 -
Panda 9.0.0.4 2008.08.25 -
PCTools 4.4.2.0 2008.08.25 -
Prevx1 V2 2008.08.25 Malicious Software
Rising 20.59.00.00 2008.08.25 -
Sophos 4.32.0 2008.08.25 -
Sunbelt 3.1.1575.1 2008.08.23 -
Symantec 10 2008.08.25 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.25 -
VBA32 3.12.8.4 2008.08.25 -
ViRobot 2008.8.25.1348 2008.08.25 -
VirusBuster 4.5.11.0 2008.08.25 -
Webwasher-Gateway 6.6.2 2008.08.25 -

[Gast_rock_*]

und ein paar andere links...

h__p://www.a-discoflirt.de/index_6.html

h__p://www.upsize.com.ar/index_6.html

h__p://team-focus.org/video_4.exe

[Rios]

Zu Link 1 hier

[Julian]

kommt als gefakte Microsoft mail mit vista office update link der diese install ist:

h!!p://89.187.49.18/install.exe

Schade, KIS erkennt es nur im interaktiven Modus
[attachment=4061:m1.jpg]
Ich vermute das soll dazu dienen, das Zurückstellen des Hintergrundbildes zu verhindern.

[attachment=4062:m2.jpg]

Dann versucht es einen Autostarteintrag zu erstellen, erstellt eine weitere exe in einem Tempordner und will diese zu irgendwelchen Aktionen bringen. Das hab ich aber lieber verboten, denn sonst kann das Programm dies für die Session mit allen anderen Programmen machen.

[Gast_Xeon_*]

kommt als gefakte Microsoft mail mit vista office update link der diese install ist:

h!!p://89.187.49.18/install.exe

Hab das vorhin gleich mal zu F-Secure weitergeleitet, die Rückantwort kam nach ca. 20 Minuten. (Die werden auch immer schneller. )

QUELLTEXT

Hello,

Thank you for your e-mail.

The file you sent was found to be malicious. An appropriate detection will be added in one of the next database updates.

Der Beitrag wurde von Xeon bearbeitet: 25.08.2008, 20:29

[hypnosekroete]

Komisch, auf VT erkennt Kaspersky das schon sein mindestens um 20:00 als Backdoor.Win32.Agent.qby, siehe hier

Edit:
Gerade gesehen, das meine Datenbanken von 09:50:00 heute morgen sind, obwohl ich gerade ein manuelles Update angestossen habe
Da haut doch irgendwas nicht hin....

Vielleicht sollten wir -wenn nicht nur bei mir vorhanden- eine Updateproblematik hier besprechen, damit es hier nicht so OT wird...

Der Beitrag wurde von hypnosekroete bearbeitet: 25.08.2008, 20:54

[Julian]

Komisch, auf VT erkennt Kaspersky das schon sein mindestens um 20:00 als Backdoor.Win32.Agent.qby, siehe hier

Edit:
Gerade gesehen, das meine Datenbanken von 09:50:00 heute morgen sind, obwohl ich gerade ein manuelles Update angestossen habe
Da haut doch irgendwas nicht hin....

Vielleicht sollten wir -wenn nicht nur bei mir vorhanden- eine Updateproblematik hier besprechen, damit es hier nicht so OT wird...

Es werden zur Zeit einfach nicht häufiger Updates veröffentlicht, mit den Datenbanken von 19:15 Uhr laut Datenbankstatus von KIS wird das Sample erkannt.
Vielleicht werden für V-T häufiger Updates released, weil dort FPs keinen Schaden anrichten

[Gast_rock_*]

rechtzeitig zum "komm-heim-cafe"....

h__p://www.fineline-emb.com/index_8.html

[Gast_rock_*]

@ julian

kam gestern um 21.45 noch zurück:

install.exe_ - Backdoor.Win32.Agent.qby

This file is already detected. Please update your antivirus bases.

[citro]

Es ist nichts zu machen, in dieser sonst vertrauenswürdigen Webseite scheint entweder ein Script schlecht erstellt oder es wurde ein böswilliges untergeschoben.

h**p://www.citydome-rosenheim.de/html/MCMS/MAIN/public/index.php

Microsoft sagt "not malware", Avira meint wie schon erwähnt die Seite wäre infiziert.
Auf meine Mail an den Betreiber hat noch niemand reagiert.



Die Warnmeldung kommt erst nach aktualisieren der Seite oder nachdem man einen Link anklickt.

Habe die Datei an viele AV gesendet


AVAST hat mir geantwortet:

...is not a false positive. Please try to find string
"eval(unescape" inside the file you have sent and you will see infection.

Ikarus meint jetzt auch ein F/P und hat die Erkennung herausgenommen

Es ist verzwickt, keine Einigkeit

http://www.virustotal.com/de/analisis/957c...9b45f3874040255

[Rios]

Besuch bei Sunkist!!
http://securitylabs.websense.com/content/Alerts/3167.aspx
http://www.viruslist.com/de/news?id=201612225

[Rios]

hxxp://celebstape.com


Vorsicht!!

[Solution-Design]

Sieht zwar lustig aus, dass ich jemanden angreife... Aber zumindest wurde der Zweck erfüllt



Der Beitrag wurde von Solution-Design bearbeitet: 30.08.2008, 07:23

[Gast_rock_*]

ecard gibts da leider keine....

h__p://personales.ya.com/q1w2/Hallmark/E-card.exe

achtung anwendung ist malware!



Der Beitrag wurde von rock bearbeitet: 12.09.2008, 19:59

[Voyager]

Scanstatistik:
Scanzeit: 0 Sek.
Scanoptionen:
Scanziele: C:\Downloads\E-card.exe
Zähler:
Gescannte Elemente insgesamt: 20
– Dateien und Laufwerke: 20
– Registrierungseinträge: 0
– Prozesse und Elemente beim Start: 0
– Netzwerk und Browser-Elemente: 0
– Sonstiges: 0
– Vertrauenswürdige Dateien: 0
– Übersprungene Dateien: 0

Erkannte Sicherheitsrisiken insgesamt: 3
Behobene Elemente insgesamt: 3
Elemente insgesamt, die Aufmerksamkeit erfordern: 0

Behobene Bedrohungen:
Risiken in der komprimierten Datei "e-card.exe"
Typ: Komprimiert
Risiko: Hoch (Hoch Versteckt, Hoch Löschen, Hoch Leistung, Hoch Datenschutz)
Kategorien: Virus
Status: Vollständig behoben
-----------
3-Dateien
c:\downloads\e-card.exe - Gelöscht

[Gast_rock_*]

mcafee

kanns wer hochladen?

[scu]

Das ist mal ne "geladene" Datei

Website gesperrt!
G DATA TotalCare 2009 hat den Zugriff auf diese Webseite verweigert.
Die Seite enthält infizierten Code: Trojan.Mirchack.A, Trojan.ZapchServ.A, Backdoor.Cloner.BI (Engine A), Win32:Flooder-EO [Trj], Win32:Trojan-gen {Other}, VBS:Malware-gen (Engine B).

[Gast_rock_*]

edit: der Win32:Flooder-EO [Trj], könnt namentlich hinkommen.... aber ansonsten, bei mir passiert garnix ausser das das downloadfenster aufklappt...und die anwendung wird halt dann erkennt....



Der Beitrag wurde von rock bearbeitet: 12.09.2008, 20:23

[Rios]

Schädlicher Codec !!

[toby]

Da hat´s wohl wieder einen erwischt:

 Codec.jpg ( 97.13KB ) Anzahl der Downloads: 21




Beim Besuch der Seite http://ÜÜÜ.codec-forum.de/ wird nach ein paar Sekunden weitergeleitet.

Es sind scheinbar ein paar Script-Kiddies unterwegs. Ziemlich plump das ganze.

Der Beitrag wurde von toby bearbeitet: 12.09.2008, 21:44

[stetha]

Norton Safe Web spuckt ja interessante Seiten aus - nicht, dass noch jemand denkt, ich surf auf solchen Seiten freiwillig

h**p://freeint.kilu.de/Laura-du-Schlampe/data/ViewplugMX.exe

Erkennung ist nicht gerade top,
und zu allem Übel meint Kaspersky No malicious software was found.

Geben die jetzt nach IBKs Test w.o?

[Gast_rock_*]

avg free meldet beim download backdoor shark l

[scu]

Norton Safe Web spuckt ja interessante Seiten aus - nicht, dass noch jemand denkt, ich surf auf solchen Seiten freiwillig

h**p://freeint.kilu.de/Laura-du-Schlampe/data/ViewplugMX.exe

Erkennung ist nicht gerade top,
und zu allem Übel meint Kaspersky No malicious software was found.

Geben die jetzt nach IBKs Test w.o?

Bitdefender erkennt es mittlerweile offenbar:

Website gesperrt!
G DATA TotalCare 2009 hat den Zugriff auf diese Webseite verweigert.
Die Seite enthält infizierten Code: Backdoor.Generic.26430 (Engine A), Win32:Trojan-gen {Other} (Engine B).

[Voyager]

meint Kaspersky No malicious software was found.

passiert schonmal

Angehängte Datei(en)

 A2.JPG ( 41.44KB ) Anzahl der Downloads: 17

 

[Gast_Xeon_*]

F-Secure haut das Ding (natürlich) auch ins Nirvana.

[Gast_Xeon_*]

Ich kann das Ding nicht starten, da kommt ne Fehlermeldung.....ist die File defekt ?

[stetha]

Hoppsa, da hab ich wohl den falschen VirusTotal-Link aus dem Verlauf gegriffen. (War vom 7.3. )

Hier ein aktueller...
Macht für mich Kasperskys Entscheidung jedoch nur noch erschreckender

[Gast_rock_*]

Hoppsa, da hab ich wohl den falschen VirusTotal-Link aus dem Verlauf gegriffen. (War vom 7.3. )
Hier ein aktueller...

lol...übersehen...

na der mc afee wird mir scho unheimlich...

aber heut nimmer.... guteN8 war'n stresstag....

[Gast_Xeon_*]

Das Ding macht gar nichts, außer das es nicht funktioniert.

[hypnosekroete]

Das hatte ich bei Kaspersky schon ein paar mal.

War dann meist:
No malicious software found, archive or structure is corrupted.

Und beim ausprobieren in de VM ist dann tatsächlich meist nix passiert...

[Gast_Xeon_*]

Könnte das nochmal jemand testen, so wie es aussieht hat Kaspersky hier mit seiner Aussage recht.

[hypnosekroete]

Inner VM sowohl unter XP und Vista nicht lauffähig.

Wenn man den VT-Bericht mal bis zum Ende anschaut wird auch klar, das irgendwas mit dem File Strukturmäßig nicht stimmt.
 Aufzeichnen.GIF ( 4.82KB ) Anzahl der Downloads: 3


Und wenn's nicht lauffähig ist, wat juck et mich...

[Solution-Design]

Schädlicher Codec !!

Bekanntermaßen (?) ist bei mir der BrowserCache vom OnAccess ausgeschlossen, aber jetzt sieht man mal, wie der von Symantec NIS09 genannte http-SCan funktioniert. Eben wie in Version 2008, nur dass diesmal ich nicht selbst als Angreifer benannt werde

[Gast_rock_*]

wieder eine infected site...

h__p://inmobiliaria1021.net/index12.html
zuerst ein psyme beim seitenaufruf, und das "video" zum downloaden ist ein Fraudloader! [AVG namen]

zum hochladen komm ich heut nimmer...

[Gast_rock_*]

Hier ein aktueller...
Macht für mich Kasperskys Entscheidung jedoch nur noch erschreckender

die datei ist auch laut kaspersky mailantwort kaputt!

Ich kann das Ding nicht starten, da kommt ne Fehlermeldung.....ist die File defekt ?

stimmt...Avira hats auch als kaputt geantwortet...

[Gast_rock_*]

h__p://inmobiliaria1021.net/index12.html

tach,

hmm...die siete ist nur mehr "404nicht gefunden".... aber wenn ich den link upload kommt das raus...

Datei pindex_1_.htm empfangen 2008.09.18 16:20:03 (CET)

Ergebnis: 12/36 (33.34%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.13.0 2008.09.18 -
AntiVir 7.8.1.34 2008.09.18 JS/Dldr.Agent.bhn
Authentium 5.1.0.4 2008.09.18 -
Avast 4.8.1195.0 2008.09.18 -
AVG 8.0.0.161 2008.09.18 JS/Psyme.RJ
BitDefender 7.2 2008.09.18 Trojan.Exploit.JS.I
CAT-QuickHeal 9.50 2008.09.17 -
ClamAV 0.93.1 2008.09.18 JS.Psyme-41
DrWeb 4.44.0.09170 2008.09.18 VBS.Psyme.554
eSafe 7.0.17.0 2008.09.17 -
eTrust-Vet 31.6.6091 2008.09.16 JS/SillyDlScript.EB
Ewido 4.0 2008.09.18 -
F-Prot 4.4.4.56 2008.09.18 -
F-Secure 8.0.14332.0 2008.09.18 -
Fortinet 3.113.0.0 2008.09.18 -
GData 19 2008.09.18 -
Ikarus T3.1.1.34.0 2008.09.18 Trojan.Exploit.JS.I
K7AntiVirus 7.10.461 2008.09.18 -
Kaspersky 7.0.0.125 2008.09.18 -
McAfee 5386 2008.09.17 JS/Spy-Agent.bw.dldr
Microsoft 1.3903 2008.09.18 TrojanDownloader:JS/Adodb.E
NOD32v2 3452 2008.09.18 -
Norman 5.80.02 2008.09.17 -
Panda 9.0.0.4 2008.09.18 -
PCTools 4.4.2.0 2008.09.18 -
Prevx1 V2 2008.09.18 -
Rising 20.62.32.00 2008.09.18 -
Sophos 4.33.0 2008.09.18 Mal/ObfJS-S
Sunbelt 3.1.1645.1 2008.09.17 -
Symantec 10 2008.09.18 -
TheHacker 6.3.0.9.086 2008.09.18 -
TrendMicro 8.700.0.1004 2008.09.18 -
VBA32 3.12.8.5 2008.09.17 -
ViRobot 2008.9.18.1381 2008.09.18 JS.Psyme.1152
VirusBuster 4.5.11.0 2008.09.17 -
Webwasher-Gateway 6.6.2 2008.09.18 Script.Dldr.Agent.bhn

however...

[citro]

Google hat eine Warnung bei einem Link herausgegeben, massenhaft Malware.

[Rios]

Firefox und der Test- Scanner geben hier Rot Alarm.
hxxp://theprivatetube.com/cd/693/0/wmcodec_update.exe

Codec!! Vorsicht!!

[Gast_Scrapie_*]

Firefox und der Test- Scanner geben hier Rot Alarm.
hxxp://theprivatetube.com/cd/693/0/wmcodec_update.exe

Codec!! Vorsicht!!

In den übergeordneten Verzeichnissen warten zwei weitere Varianten auf einen DL

[Gast_blueX_*]

Und was sagt Virustotal zu den drei Files?

[Gast_Scrapie_*]

Und was sagt Virustotal zu den drei Files?

18 von 32 detected.
Scheinen VP-Detection zu haben - verweigern zumindest den Dienst hier mit schlecht vorgetäuschten "Fehlermeldungen" und deaktivieren sich ohne groß Aktion zu machen.
Wer hat Virtual Box oder VM am Laufen?

//Edit.
Es werden 3 Dateien gedropped.
Geh jetzt Pizza essen und dan schau ich die Teilchen an

Der Beitrag wurde von Scrapie bearbeitet: 26.09.2008, 19:11

[Gast_blueX_*]

Meine Hosts-Datei ist für diese Seite gesperrt ...

Der Beitrag wurde von blueX bearbeitet: 26.09.2008, 19:09

[Voyager]

In den übergeordneten Verzeichnissen warten zwei weitere Varianten auf einen DL

Alle Downloads werden als Trojan Zlob erkannt.

Der Beitrag wurde von bond7 bearbeitet: 26.09.2008, 19:19

[Gast_Scrapie_*]

Alle Downloads werden als Trojan Zlob erkannt.

DL des ganzen Bündels (gedroppte Dateien): http://rapidshare.com/files/148619920/rokop.rar.html
PW = qwertz

Vorsicht!


Scrapie

[Gast_Scrapie_*]

Der "Codec" von oben schlägt vor, folgende "Virenscanner" zu laden:

h++p://scanner.vav-x-scanner.com/36/?advid=0000005378 (Vorsicht)
h++p://scanner.ms-scanner.com/35/?advid=0000005378 (Vorsicht)

Diese werden aber shon recht gut erkannt:
http://www.virustotal.com/de/analisis/f3d2...54010ad8b94858d

Scrapie

[Voyager]

DL des ganzen Bündels (gedroppte Dateien):

Scanstatistik:
Scanzeit: 487 Sek.
Scanoptionen:
Scanziele: C:\Downloads\Eigene Dateien
Zähler:
Gescannte Elemente insgesamt: 18
– Dateien und Laufwerke: 18
– Registrierungseinträge: 0
– Prozesse und Elemente beim Start: 0
– Netzwerk und Browser-Elemente: 0
– Sonstiges: 0
– Vertrauenswürdige Dateien: 0
– Übersprungene Dateien: 0

Erkannte Sicherheitsrisiken insgesamt: 2
Behobene Elemente insgesamt: 2
Elemente insgesamt, die Aufmerksamkeit erfordern: 0

Behobene Bedrohungen:
Suspicious.AH.109
Typ: Anomalie
Risiko: Mittel (Mittel Versteckt, Mittel Löschen, Mittel Leistung, Mittel Datenschutz)
Kategorien: Heuristikvirus
Status: Vollständig behoben
-----------
1 Datei
c:\downloads\eigene dateien\5378.exe - Gelöscht


Trojan.Zlob
Typ: Anomalie
Risiko: Hoch (Hoch Versteckt, Hoch Löschen, Hoch Leistung, Hoch Datenschutz)
Kategorien: Virus
Status: Vollständig behoben
-----------
1 Registrierungseintrag
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\->System - Repariert
1 Datei
c:\downloads\eigene dateien\codecbho.dll - Gelöscht

Der "Codec" von oben schlägt vor, folgende "Virenscanner" zu laden:

Der Beitrag wurde von bond7 bearbeitet: 26.09.2008, 20:03

Angehängte Datei(en)

 Aufzeichnen.JPG ( 85.7KB ) Anzahl der Downloads: 17

 

[Rios]

Ach ja, der Test-Scanner sagt ja auch noch etwas dazu.

[Solution-Design]

[chris30duew]

beim scan des DL Bundles (gedroppte Dateien) findet Gdata 2009 insgesamt 10 Dateien als infiziert. Warum Symantec nur 2? interessiert mich irgendwie.

[Gast_rock_*]

beim scan des DL Bundles (gedroppte Dateien) findet Gdata 2009 insgesamt 10 Dateien als infiziert. Warum Symantec nur 2? interessiert mich irgendwie.

frag ich mich auch, aber eher wie gdata 10 erkennt...der rest sind ja icon und gifbillder ne html und so sachen....



mc afee hat übrigens nix gemeldet.

guten morgen übrigens!

[Solution-Design]

DL des ganzen Bündels (gedroppte Dateien): http://rapidshare.com/files/148619920/rokop.rar.html
PW = qwertz
Vorsicht!

Norton Antivirus Autoprotect deaktiviert, Archiv entpackt, die Datei 5378.exe mit Winrar weiter entpackt und die 5378.exe selbst gelöscht. Nach fünf Minuten Scannen (benutzerdefinierter Scan über rechte Maustaste) erzeugt NAV eine Fehlermeldung und bietet den EinKlick-Support an. Bereinigt wurde nichts. Bleibt Autoprotect aktiviert, wird eine codecbho.dll gelöscht. Ein weiterer Scan des Verzeichnisses ergibt kein Ergebnis.

Datei nochmals nach obigem Beispiel entpackt, diesmal lief der Scan ohne Fehlermeldung ab. Es wurde aber dennoch nur eine Datei erkannt. codecbho.dll

Danach habe ich die Datei mit eScan geprüft, mit folgendem Ergebnis:

QUELLTEXT

Sat Sep 27 12:16:46 2008 => ***** Scanning C:\1\Vir Folder *****
Sat Sep 27 12:16:46 2008 => Scanning Folder: C:\1\Vir\*.*
Sat Sep 27 12:16:46 2008 => Scanning Folder: C:\1\Vir\Eigene Dateien\*.*
Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\0.exe
Sat Sep 27 12:16:46 2008 => File C:\1\Vir\Eigene Dateien\0.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\0.gif [**]
Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\1.exe
Sat Sep 27 12:16:46 2008 => File C:\1\Vir\Eigene Dateien\1.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\1.gif [**]
Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\1.ico [**]
Sat Sep 27 12:16:46 2008 => Scanning File C:\1\Vir\Eigene Dateien\2.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\2.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\2.gif [**]
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\2.ico [**]
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\3.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\3.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\3.gif [**]
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\4.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\4.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\5.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\5.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning Folder: C:\1\Vir\Eigene Dateien\5378\*.*
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\0.exe
Sat Sep 27 12:16:47 2008 => File C:\1\Vir\Eigene Dateien\5378\0.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\0.gif [**]
Sat Sep 27 12:16:47 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\1.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\1.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\1.gif [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\1.ico [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\2.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\2.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\2.gif [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\2.ico [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\3.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\3.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\3.gif [**]
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\4.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\4.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\5.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\5.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\7.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\5378\7.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\5378\sc.html
Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\7.exe
Sat Sep 27 12:16:48 2008 => File C:\1\Vir\Eigene Dateien\7.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Sat Sep 27 12:16:48 2008 => Scanning File C:\1\Vir\Eigene Dateien\sc.html
Sat Sep 27 12:16:49 2008 => Scanning File C:\1\Vir\Eigene Dateien\System.dll

Ein weiterer Test der übrig gebliebenen Dateien, ergibt folgendes Ergebnis: http://www.virustotal.com/de/analisis/21f2...21c39a9d1991800

Edit: Ikarus von asquared mag die Dateien gar nicht



Hier das, was von Symantec übersehen wurde:
http://www.virustotal.com/de/analisis/c51d...2ab7e82016c5714

Ikarus noch eine Chance geb:

QUELLTEXT

C:\1\VIR\rokop\Eigene Dateien\0.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\1.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\1.ico     detected: Win32.SuspectCrc!IK
C:\1\VIR\rokop\Eigene Dateien\2.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\2.ico     detected: Win32.SuspectCrc!IK
C:\1\VIR\rokop\Eigene Dateien\3.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\4.exe     detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\0.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\1.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\1.ico        detected: Win32.SuspectCrc!IK
C:\1\VIR\rokop\Eigene Dateien\5378\2.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\2.ico        detected: Win32.SuspectCrc!IK
C:\1\VIR\rokop\Eigene Dateien\5378\3.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\4.exe        detected: Trojan.Peed!IK
C:\1\VIR\rokop\Eigene Dateien\5378\sc.html      detected: Trojan.Fakeav.BE!IK
C:\1\VIR\rokop\Eigene Dateien\sc.html   detected: Trojan.Fakeav.BE!IK

Der Beitrag wurde von Solution-Design bearbeitet: 27.09.2008, 12:11

[Gast_rock_*]

hmm....den namen antivirus 2008 oder fake av vergebens aber jetzt schon oft bei so düsteren ergebnissen....



werds später mal mit avg testen. mc afee sagt wie gesagt nix.

Der Beitrag wurde von rock bearbeitet: 27.09.2008, 11:32

[Gast_rock_*]

okey...avg free meldet auch 2 dinger beim auspacken!
edit: sorry die namen! es meldet die beiden trojan generics in:

Der Beitrag wurde von rock bearbeitet: 27.09.2008, 11:59

Angehängte Datei(en)

 2x.JPG ( 5.41KB ) Anzahl der Downloads: 2
 2x_name.JPG ( 6.38KB ) Anzahl der Downloads: 0

 

[Gast_rock_*]

ergebnis von kaspersky:


0.exe, 1.exe, 2.exe, 3.exe, 4.exe, 5.exe, 5378.exe, 7.exe - Trojan-Downloader.Win32.Hoaxer.a
These files are already detected. Please update your antivirus bases.

0.gif, 1.gif, 1.ico, 2.gif, 2.ico, 3.gif, sc.html, System.dll
No malicious code were found in these files.

CodecBHO.dll - Trojan-Downloader.Win32.Agent.ahvq
New malicious software was found in this file. It's detection will be included in the next update



Der Beitrag wurde von rock bearbeitet: 27.09.2008, 14:54

[chris30duew]

hm also irgendwie schwache leistung von symantec oder sehe ich das falsch? dabei sind das ja eigentlich gängige schaddateien in dem bundle.
mal die nächste signatur updates abwarten und nochmal testen (fleissge symantec anhänger haben sicher schon die dateien upgeloaded :-D)

[Voyager]

Du musst das jetzt nicht übertreiben, immerhin wurde beim Aufrufen der Fakecodec Seite der MalwareDownload blockiert und die Fake-AV Seiten wurden auch erkannt , das Ziel den User zu schützen wurde erreicht.

[Solution-Design]

hm also irgendwie schwache leistung von symantec oder sehe ich das falsch? dabei sind das ja eigentlich gängige schaddateien in dem bundle.

Trojan-Downloader.Win32.Hoaxer.a wurde übersehen. Also ein Code. Was auch immer der überhaupt macht.

Edit: Schlimmer ist, dass die Datei System.dll Ikarus und auch einmal Symantec zum Absturz brachte.

Der Beitrag wurde von Solution-Design bearbeitet: 27.09.2008, 17:07

[Gast_rock_*]

hier noch das gewaltige ergebnis/antwort von avira zum paket von scrapie!

Wir haben folgende Archivdateien empfangen:
Datei ID Dateiname Größe (Byte) Ergebnis
25145663 password.qwertz.rar 575.48 KB OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:

Datei ID Dateiname Größe (Byte) Ergebnis
25147980 sc.html 2.16 KB MALWARE
25147981 0.exe 22.5 KB MALWARE
25147982 1.exe 24.5 KB MALWARE
25147983 2.exe 24.5 KB MALWARE
25147984 3.exe 23.5 KB MALWARE
25147985 4.exe 23.5 KB MALWARE
25147986 5.exe 71.5 KB MALWARE
25147987 5378.exe 325.96 KB MALWARE
25147988 7.exe 73 KB MALWARE
25147989 CodecBHO.dll 152 KB MALWARE
25055259 1.ico 3.19 KB CLEAN
25055260 2.ico 3.19 KB CLEAN
25055249 0.gif 6.59 KB CLEAN
25055251 1.gif 8.05 KB CLEAN
25055253 2.gif 93 Byte CLEAN
25055255 3.gif 297 Byte CLEAN



Der Beitrag wurde von rock bearbeitet: 01.10.2008, 15:30

[Gast_rock_*]

Phising.... der link dürft aber leider schon im eimer sein...
daher nur zur info:

Dear Abbey National e-Banking member!

Our Maintenance Division is carrying out a scheduled e-Banking software update

By clicking on the link below please commence the procedure of the client details update:

http://www1.abbeynational.net/CentralLogon...wzkwzDkwdyyhOcn

These instructions are to be emailed and followed by all members of the Abbey National e-Banking

Abbey National does apologize for the problems caused to you, and is very grateful for your help.

If you are not client of Abbey National Bankline please disregard this letter!

*** This is automatically generated email, please do not respond ***

© '08 Abbey National Bank OnLine Banking. All Rights Reserved.

[Sasser]

Ein alter Hut in formschöner Aufmachung.....

hxxp://online-virus-scanning.com

[hypnosekroete]

Ein alter Hut in formschöner Aufmachung.....
hxxp://online-virus-scanning.com

 Unbenannt.png ( 99.92KB ) Anzahl der Downloads: 10

Jetzt muss mir nur nochmal einer erklären, warum ich mich selbst angreife....

Aber solution-design hat da irgendwo schonmal was zu geschrieben, ich bin denn mal suchen...

Edit: Habs gefunden, werd aber, auch hiermit, nicht schlau draus

Der Beitrag wurde von Joerg bearbeitet: 04.10.2008, 08:00

[Solution-Design]

Kommunikation erfolgt immer in beide Richtungen und TCP/IP wird überwacht. Und wenn dann in diesem Falle Opera etwas zurückschicken soll/will… Dann steht da eben der eigene Rechner als böser Bube. Jetzt müsste mal jemand die Pakete entschlüsseln. Da IP sich für die eindeutige Adressierung der Quell- und Zielrechner im Netz verantwortlich zeigt, steht dort wohl oftmals der eigene Rechner. http://www.rvs.uni-bielefeld.de/~heiko/tcp...lt/kap_2_1.html

[Gast_rock_*]

Ein alter Hut in formschöner Aufmachung.....

hT__p://online-virus-scanning.com/

na bestens. GENAU davon haben wir gesprochen, das da popups sind und wenn man die falsch wegklickt hatman den iltis!


http://www.rokop-security.de/index.php?s=&...st&p=250000

bei deinem link klappt sofort ien popup auf mit man sei infiziert....wegklicken natürlich beim roten kreuz an der ecke nciht mit ok!!!

menno sasser!!

und ausserdem weis ich auch bald nimmer wo was hinsoll...das ist ja wieder rogue software.....



edit: link edit.

Der Beitrag wurde von rock bearbeitet: 04.10.2008, 08:12

[Solution-Design]

hm also irgendwie schwache leistung von symantec oder sehe ich das falsch? dabei sind das ja eigentlich gängige schaddateien in dem bundle.
mal die nächste signatur updates abwarten und nochmal testen (fleissge symantec anhänger haben sicher schon die dateien upgeloaded

Ist schon was seltsam, warum die Erkennung da was gedauert hat. Zumal Sym diese Dateien schon lange kennt http://securityresponse.symantec.com/secur...-061114-0840-99




Nach Symantecs Bereinigung bleibt aber noch genügend Futter
http://www.virustotal.com/de/analisis/ee49...3f9c1c03e9aa676

Hier das eScan 4.47-Log
0.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.
4.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.
5.exe infected by "Trojan-Downloader.Win32.Hoaxer.a" Virus. Action Taken: File Deleted.

Edit: Dieses Ergebnis ist umso interessanter, da von anderen AVs alle ausführbaren Dateien von 0-x als "Trojan-Downloader.Win32.Hoaxer.a" erkannt werden. Also kein Unterschied gemacht wird. Bei Symantec dagegen schon, sonst würden sie ja nicht übrig bleiben.

Der Beitrag wurde von Solution-Design bearbeitet: 04.10.2008, 18:59

[Solution-Design]

Erledigt http://securityresponse.symantec.com/secur...-090422-1952-99

[citro]

Erledigt http://securityresponse.symantec.com/secur...-090422-1952-99

HI,

wie ist deine Heuristik eingestellt ? aggressiv ?

Bei mir kommen manchmal bei niederer Stufe die eigentlichen Signaturnamen anstatt "Suspicious..."

[Voyager]

AH bedeutet übrigens advanced heuristic , Symantec macht sich das einfach und knallt nur paar Zahlen dahinter je nachdem für was die heuristische Erkennung steht ähnlich der Bloodhound.Exploit.XXX Erkennungen (mittlerweile 208 Erkennungen) . Laut den Programmiererteam im NortonForum soll die erweiterte heuristische Erkennung sehr viel erkennen können , so wirklich überzeugt bin ich bis jetzt aber nicht.

[citro]

Es könnte ja so sein oder ähnlich, wie in dieser Meldung von mir

http://www.rokop-security.de/index.php?s=&...st&p=251241

[Sasser]

@Rock, hi darf man Gratulieren...Alter unbekannt...nun bekennender Mitdreißiger ?
schmunzel, ja der Angriff ist schon Witzig wenn man sich selber angeblich bedroht, das hat schon was Philosophisches..grins.

Ach ja, wenn man Browser Fenster bei Songbird, ein open Source Programm der Firefox Community, zuläßt und hier einen Song eingibt der nicht
vorhanden ist im Pool, so erscheint diese nette Aufforderung seinen PC sofort zu säubern man wäre infiziert... wegen dem X-Button.

Oder bei "Toggo.de" ohne Script-Blocker und Geswall nicht zu empfehlen, denn hier wird der Firefox infiltriert und auf etliche Ports geleitet.
Der Quick-Time Player sowie der Real-Player sind aber meine heimlichen Favoriten.....

Der Beitrag wurde von Sasser bearbeitet: 09.10.2008, 21:03

[Gast_Scrapie_*]

Sehr fieser "Surf-by-Download".
Bitte unbedingt aufpassen!!!
Nutzt einen PDF-Exploit aus und ich habe auf dem Server eine nahezu unerkannte "default.exe" aufgespürt.

QUELLTEXT

http://62.16.112.143/e/

Gruß,
Scrapie

[Voyager]

Wird als Bloohound.Exploit.196 erkannt .
http://www.symantec.ws/en/th/enterprise/se...-080702-2357-99

und wieder hat der Glitzerstab zugeschlagen *Wusch*

[Gast_Scrapie_*]

Wird als Bloohound.Exploit.196 erkannt .
http://www.symantec.ws/en/th/enterprise/se...-080702-2357-99

und wieder hat der Glitzerstab zugeschlagen *Wusch*

Hi

bezieht sich auf die PDF oder?
Wie sieht bei dir lokal die Erkennung der EXE aus?


Cheers,
Scrapie

[Voyager]

Der Content wird nicht nachgeladen da der Exploit gesperrt wird vom AV , ich vermute mal stark das bezieht sich jetzt auf die doc.pdf wie du Sie bei VT hast scannen lassen. Ich bekam hier nur die AV-Traymeldung der Bloohound.Exploit.196 Erkennung einer "a9r303.tmp" .

Der Beitrag wurde von bond7 bearbeitet: 14.10.2008, 15:31

[Gast_kurz-pc_*]

hxxp://www.bast-gmbh.com/index14.php

Youtube Fake.
http://www.virscan.org/report/544712afe7ad...173d89e634.html

Seit gehört anscheinend einer GmbH in Hamburg. Was meint ihr sollte man grundsätzlich die Seiten Inhaber/Provider anschreiben und auf drauf hinweißen?
Und würdet ihr solche Seiten bei siteadvisor negative bewerten? Meisten sind diese ja nach kurzer zeit wider off.

[raman]

Wenn ich solche Spammails bekomme, aus der hervorgeht, das die dort angegebene Seite, nennen wir es mal "gehackt" wurde, bekommt die Hoster Abuse Abteilung eine Mail, sowie der eigentliche Betreiber. Aber ob das im endeffekt sehr viel bringt, wag ich zu bezweifeln.

[Gast_kurz-pc_*]

Wie wunder es wie die das machen die Seite hxxp://www.bast-gmbh.com ist ne ganz einfache seit mit html.
Wie können die so was, dann auf die Seite bekommen. Wird da der ftp gehackt oder wo ist das die schwachstelle?

[Voyager]

Beides, mit schwachen Passwörtern gesichert und ungepatchte Software.

[Rios]

Allen bekannt, führt zu Smiley Central !!

[Rios]

Kann das mal einer gegentesten, bekomme hier einen HTML Virus!!
hxxp://www.s.asdiskcleaner.com Vorsicht!!

Der Beitrag wurde von Rios bearbeitet: 28.10.2008, 20:27

[Gast_Scrapie_*]

Hi

Hier kommt nix durch, sorry.
Wenn man sich den Quelltext aber ansieht, dann finden sich drei (identische da Hashwerte gleich) Downloads, zu denen man entsprechend umgeleitet wird.
Download wurde schon im September bei virustotal hochgeladen. Erkennung dafür ziemlich mies!: *Klick*
PEiD erkennt hier im Gegensatz zu Virustotal "Nullsoft PiMP Stub [Nullsoft PiMP SFX]" als Packer. Die Jungs dort sollten mal ihre PEiD-Signaturen in Ordnung bringen...

Vielleicht kann dir bond mehr zum HTML-Teil sagen, wenn er auf seiner VM unter AntiBot das Teil anklickt...


Scrapie



PS:
Der Link in deinem Poting ist hier "Klick-Aktiv"

Der Beitrag wurde von Scrapie bearbeitet: 28.10.2008, 18:59

[Voyager]

In beiden virtuellen XP Maschinen , einmal NIS und einmal NAB die Seite im IE geöffnet passiert nichts weiter , im Hintergrund gedownloadet wird dabei auch nichts .

[Rios]

Scrapie, bond
Danke!

[chris30duew]

Das sagt Avira zu dieser Seite. Schon beim Aufrufen Popt die Meldung auf das meine Heuristische Malware gefunden wurde. Also ganz koscher scheint es vll doch nicht zu sein, oder Avira hat hier einen FP. Kann ja auch sein.

Angehängte Datei(en)

 Aufzeichnen.JPG ( 52.87KB ) Anzahl der Downloads: 13

 

[Rios]

Der Link ist aber schon gar nicht in Ordnung!! Vorsicht


]

[Voyager]

Welcher Link ? In beiden Bildern erkennt man keinen Hinweis.

[Rios]

Bond, steht ganz groß neben dem grünen Symantec Button in rot!! avg-.....